CVE-2024-2004 in cURL
要約
〜によって VulDB • 2026年06月14日
プロトコル選択パラメータのオプションで、すべてのプロトコルを無効化し、かつ新たなプロトコルの追加を行わない場合、プロトコル削除ロジックのエラーにより、デフォルトのプロトコルセットが許可されたセットに残ってしまう。以下のコマンドは、明示的に無効化されている平文のプロトコルを使用して curl.se へリクエストを実行する:
``` curl --proto -all,-http http://curl.se ```
この欠陥は、選択されたプロトコルのセットによって利用可能なすべてのプロトコルが無効化される場合にのみ存在し、そのようなコマンド自体には実用的な用途がなく、実際の状況で遭遇することは unlikely(稀)である。したがって、curl のセキュリティチームはこの問題を低重大度のバグと評価している。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.